Fond d'écran parasite...
Fermé
poctoy
Messages postés
33
Date d'inscription
samedi 5 mars 2005
Statut
Membre
Dernière intervention
28 juillet 2015
-
10 juil. 2005 à 18:55
fille avec gros problème - 22 févr. 2008 à 18:34
fille avec gros problème - 22 févr. 2008 à 18:34
bonjour,
depuis hier j'ia une pub pour un antivirus qui se met dès l'uvertue de l'ordi en fond d'écran, ce qui freine d'ailleurs la mise en route. Je n'arrive pas à l'enlever, même en allant sur le site où on vous sugère gentiment d'acquérir les droits pour 60$. J'ai utilisé ad-awre, l'antispyware de microsoft, spybot, et un hijackthis que j'ai exploité comme j'ai pu. Mais rien à faire, il squat mon ordi. qq'un a t-il une suggestion?
merci.
A+
poctoy
depuis hier j'ia une pub pour un antivirus qui se met dès l'uvertue de l'ordi en fond d'écran, ce qui freine d'ailleurs la mise en route. Je n'arrive pas à l'enlever, même en allant sur le site où on vous sugère gentiment d'acquérir les droits pour 60$. J'ai utilisé ad-awre, l'antispyware de microsoft, spybot, et un hijackthis que j'ai exploité comme j'ai pu. Mais rien à faire, il squat mon ordi. qq'un a t-il une suggestion?
merci.
A+
poctoy
A voir également:
- Fond d'écran parasite...
- Double ecran - Guide
- Comment mettre une vidéo en fond d'écran - Guide
- Capture d'écran whatsapp - Accueil - Messagerie instantanée
- Capture d'écran samsung - Guide
- Retourner ecran windows - Guide
22 réponses
jean38
Messages postés
2534
Date d'inscription
samedi 16 avril 2005
Statut
Contributeur
Dernière intervention
17 juillet 2017
47
10 juil. 2005 à 19:01
10 juil. 2005 à 19:01
salut
imprime cette manip et suit la.
A/ si tu ne les as pas, telecharge:
Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite
idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
4) execute cleanup40.exe
tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.
redemarre
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
aide en image:(Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
A+
Jean
imprime cette manip et suit la.
A/ si tu ne les as pas, telecharge:
Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite
idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
4) execute cleanup40.exe
tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.
redemarre
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
aide en image:(Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
A+
Jean
salut jean 38,
j'ai fait toutes les manips, il y a du mieux, cad que le texte et l'image et le fond d'écran ont disparu, mais à la place j'ai une image toute blanche de la même taille que l'image précédente. Mes icônes apparaissent tout de même.
je n'ai pas pu utiliser a2, ma "licence" gratuite a expiré...
qd au résultat du scan hijackthis, le voici.
Logfile of HijackThis v1.99.1
Scan saved at 21:35:55, on 10/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\LightSurf\Common\IconMgr.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSTCPDLL] bingo9.exe
O4 - HKLM\..\Run: [PrcIdle] ERTYDF.exe
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Lyad] C:\PROGRAM FILES\EMULE\lyrod.exe autostart
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (Image Uploader 3.0 Control) - http://www2.photoweb.fr/albums/telechargement-photoweb.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.lu/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
j'ai fait une évaluation sur ce site : http://hijackthis.de/index.php?langselect=french
et a priori rien de suspect...
as-tu des commentaires à y faire? et sai-tu comment me débarasser de ce carré blanc en fond d'écran????
merci
A+
poctoy
j'ai fait toutes les manips, il y a du mieux, cad que le texte et l'image et le fond d'écran ont disparu, mais à la place j'ai une image toute blanche de la même taille que l'image précédente. Mes icônes apparaissent tout de même.
je n'ai pas pu utiliser a2, ma "licence" gratuite a expiré...
qd au résultat du scan hijackthis, le voici.
Logfile of HijackThis v1.99.1
Scan saved at 21:35:55, on 10/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\LightSurf\Common\IconMgr.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSTCPDLL] bingo9.exe
O4 - HKLM\..\Run: [PrcIdle] ERTYDF.exe
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Lyad] C:\PROGRAM FILES\EMULE\lyrod.exe autostart
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (Image Uploader 3.0 Control) - http://www2.photoweb.fr/albums/telechargement-photoweb.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.lu/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
j'ai fait une évaluation sur ce site : http://hijackthis.de/index.php?langselect=french
et a priori rien de suspect...
as-tu des commentaires à y faire? et sai-tu comment me débarasser de ce carré blanc en fond d'écran????
merci
A+
poctoy
Utilisateur anonyme
10 juil. 2005 à 21:47
10 juil. 2005 à 21:47
salut
telecharge ceci:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
lance le est choisis l'option 1
poste le rapport
pour ton fond d'écran:
vérifie ceci:
Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif
a+
telecharge ceci:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
lance le est choisis l'option 1
poste le rapport
pour ton fond d'écran:
vérifie ceci:
Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif
a+
poctoy
Messages postés
33
Date d'inscription
samedi 5 mars 2005
Statut
Membre
Dernière intervention
28 juillet 2015
10 juil. 2005 à 21:51
10 juil. 2005 à 21:51
salut,
après cette manip, sur la fenêtre web je n'ai rien, cad je n'ai pas la coche "ma page d'accueil"...
???
A+
poctoy
après cette manip, sur la fenêtre web je n'ai rien, cad je n'ai pas la coche "ma page d'accueil"...
???
A+
poctoy
Utilisateur anonyme
10 juil. 2005 à 21:53
10 juil. 2005 à 21:53
ca doit etre comme sur l'image à moins que tu n'utilise une page web comme fond d'écran.
tu essayé de remettre un fond d'ecran ?
tu essayé de remettre un fond d'ecran ?
poctoy
Messages postés
33
Date d'inscription
samedi 5 mars 2005
Statut
Membre
Dernière intervention
28 juillet 2015
10 juil. 2005 à 21:59
10 juil. 2005 à 21:59
voici le rapport de smirtfraudfix :
SmitFraudFix v0.7
Rapport fait à 21:55:17,75 le 10/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
A+
poctoy
SmitFraudFix v0.7
Rapport fait à 21:55:17,75 le 10/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
A+
poctoy
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
jean38
Messages postés
2534
Date d'inscription
samedi 16 avril 2005
Statut
Contributeur
Dernière intervention
17 juillet 2017
47
10 juil. 2005 à 22:03
10 juil. 2005 à 22:03
et bien si rien de suspect, commence par faire çà :
merci au robot d'analyse lol
A/ si tu ne les as pas, telecharge:
Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite
idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
4) lance hijack, ferme le bloc note et coche les cases devant les lignes, à la fin valide à l’aide du bouton fix checked:
O4 - HKLM\..\Run: [MSTCPDLL] bingo9.exe
O4 - HKLM\..\Run: [PrcIdle] ERTYDF.exe
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (Image Uploader 3.0 Control) - http://www2.photoweb.fr/albums/telechargement-photoweb.cab
O
16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.lu/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
5) supprime les fichiers
bingo9.exe
ERTYDF.exe
C:\WINDOWS\System32\iegfxfrw.dll
6) execute cleanup40.exe
tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.
redemarre
refait un log et moe verra la suite s'il veut bien
A+
merci au robot d'analyse lol
A/ si tu ne les as pas, telecharge:
Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite
idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
4) lance hijack, ferme le bloc note et coche les cases devant les lignes, à la fin valide à l’aide du bouton fix checked:
O4 - HKLM\..\Run: [MSTCPDLL] bingo9.exe
O4 - HKLM\..\Run: [PrcIdle] ERTYDF.exe
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (Image Uploader 3.0 Control) - http://www2.photoweb.fr/albums/telechargement-photoweb.cab
O
16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.lu/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
5) supprime les fichiers
bingo9.exe
ERTYDF.exe
C:\WINDOWS\System32\iegfxfrw.dll
6) execute cleanup40.exe
tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.
redemarre
refait un log et moe verra la suite s'il veut bien
A+
Utilisateur anonyme
10 juil. 2005 à 22:06
10 juil. 2005 à 22:06
salut
rajoute celle ci aussi:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
rajoute celle ci aussi:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
jean38
Messages postés
2534
Date d'inscription
samedi 16 avril 2005
Statut
Contributeur
Dernière intervention
17 juillet 2017
47
10 juil. 2005 à 22:15
10 juil. 2005 à 22:15
je crois que je vais aller me coucher, je l'avais mise sur mon papier et pas recopier.
Vacances J-3
Vacances J-3
Utilisateur anonyme
10 juil. 2005 à 22:16
10 juil. 2005 à 22:16
les 3 derniers c'est les plus long, lol mais plus tres longtemps à tenir...
jean38
Messages postés
2534
Date d'inscription
samedi 16 avril 2005
Statut
Contributeur
Dernière intervention
17 juillet 2017
47
10 juil. 2005 à 22:18
10 juil. 2005 à 22:18
t'inquiete pas tu auras le decompte jour par jour.
j'aurais une petite pensée pour vous tous au fonds du desert... trop bon.
j'aurais une petite pensée pour vous tous au fonds du desert... trop bon.
Utilisateur anonyme
10 juil. 2005 à 22:19
10 juil. 2005 à 22:19
veinard !!!
c'est original le desert, mais quel calme !
c'est original le desert, mais quel calme !
salut,
qq infos, désolé elles prennent de la place mais y’à des trucs que je pige pas du tout :
1) voici ce que j'ai comme propriété lorsque je fais un clic droit sur ma "fameuse" image blanche en fond d'écran :
file://C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html
2) par ailleurs, il semble que mes paramètres généraux aient été modifiés avec ttes ces manips. par exemple dans le panneau de configuration "affichage", je n'ai plus que 2 onglets "écran de veille" et "paramètres", autrement dit je ne peux plus personnaliser ni le fond d'écran, ni l'écran de veille, ni vérifier la configuration de mon fond d'écran comme tu me le disais dans un message précédent dans l'onglet "web"...
3) peut-être une info intéressante : qd je fais clic droit sur mon image blanche et que je fais « source », voici ce que j’ai :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!----
***** This file is automatically generated by Microsoft Windows *****
--------><HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD>
<BODY bgColor=#0102ac>
<DIV
style="BACKGROUND: url(file:///C:/WINDOWS/System32/wp.bmp) no-repeat 50% 50%; LEFT: 0px; WIDTH: 1280px; POSITION: absolute; TOP: 0px; HEIGHT: 1024px"></DIV><IFRAME
id=0
style="Z-INDEX: 9996; BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH: 1024px; POSITION: absolute; TOP: 1px; HEIGHT: 768px"
name=DeskMovrW marginWidth=0 marginHeight=0
src="file:///C:/DOCUME~1/client/LOCALS~1/Temp/bcdb4a5bc.html" frameBorder=0
subscribed_url="C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html"
resizeable="XY"> </IFRAME>
<OBJECT id=ActiveDesktopMover
style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
<OBJECT id=ActiveDesktopMoverW
style="Z-INDEX: 9995; LEFT: -1px; VISIBILITY: hidden; WIDTH: 1026px; POSITION: absolute; TOP: 0px; HEIGHT: 770px; container: positioned"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
</BODY></HTML>
où ça parle semble t-il d’une tâche lancé automatiquement par XP, et où on retrouve le fichier file://C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html…
mais dans tt ça je pige pas grand chose….
4) j’ai essayé de virer comme tu le dis bingo9.exe et ertydf.exe, mais le pb ce qu’après avoir fait une recherche sur mon poste de travail, il n’a pas trouvé de fichiers correspondants (en revanche j’ai bien viré le troisième C:\WINDOWS\System32\iegfxfrw.dll). J’ai alors fait une recherche sur les fichiers contenant ces textes, et voici ce que j’obtiens :
pour bingo9.exe, 2 fichiers contiennent ce texte tous deux sous le répertoire C:\WINDOWS\PCHealth\HelpCtr\DataColl, ce sont les fichiers CollectedData_3703 et CollectedData_5532. Ce sont des fichiers de type XML ( ?), en ouvrant le premier voici ce que j’ai (c’est là que c’est long, oups…) :
<?xml version="1.0" encoding="unicode" ?>
- <CIM CIMVERSION="2.0" DTDVERSION="2.0">
- <DECLARATION>
- <DECLGROUP.WITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">"C:\Program Files\WareOut\WareOut.exe"</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">WareOut</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>"C:\Program Files\WareOut\WareOut.exe"</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>WareOut</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">bingo9.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">MSTCPDLL</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">All Users</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>bingo9.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>MSTCPDLL</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>All Users</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">Bogobot.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">xsetup</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>Bogobot.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>xsetup</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">ERTYDF.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">PrcIdle</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">All Users</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>ERTYDF.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>PrcIdle</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>All Users</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">hyandex.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">cnftips</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>hyandex.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>cnftips</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">PrcIdle.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">stuffmon</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>PrcIdle.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>stuffmon</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
</DECLGROUP.WITHPATH>
</DECLARATION>
</CIM>
voilà c’est tout !!!
mais on trouve effectivement des lignes avec les deux fichiers que tu m’as conseillé de virer.
Qu’est-ce que je fais ? je vire les 2 fichiers XML ???
Voilà voilà, désolé d’abuser, mais c’est un peu agaçant ce genre de parasites, mais tu vois que malgré mes faibles connaissances en informatique, j’essaie de fouiller et de comprendre…. J
J'essaie d’abord de relancer tout ça après mon hijckthis et je te tiens au jus...
A+
poctoy
qq infos, désolé elles prennent de la place mais y’à des trucs que je pige pas du tout :
1) voici ce que j'ai comme propriété lorsque je fais un clic droit sur ma "fameuse" image blanche en fond d'écran :
file://C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html
2) par ailleurs, il semble que mes paramètres généraux aient été modifiés avec ttes ces manips. par exemple dans le panneau de configuration "affichage", je n'ai plus que 2 onglets "écran de veille" et "paramètres", autrement dit je ne peux plus personnaliser ni le fond d'écran, ni l'écran de veille, ni vérifier la configuration de mon fond d'écran comme tu me le disais dans un message précédent dans l'onglet "web"...
3) peut-être une info intéressante : qd je fais clic droit sur mon image blanche et que je fais « source », voici ce que j’ai :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!----
***** This file is automatically generated by Microsoft Windows *****
--------><HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD>
<BODY bgColor=#0102ac>
<DIV
style="BACKGROUND: url(file:///C:/WINDOWS/System32/wp.bmp) no-repeat 50% 50%; LEFT: 0px; WIDTH: 1280px; POSITION: absolute; TOP: 0px; HEIGHT: 1024px"></DIV><IFRAME
id=0
style="Z-INDEX: 9996; BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH: 1024px; POSITION: absolute; TOP: 1px; HEIGHT: 768px"
name=DeskMovrW marginWidth=0 marginHeight=0
src="file:///C:/DOCUME~1/client/LOCALS~1/Temp/bcdb4a5bc.html" frameBorder=0
subscribed_url="C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html"
resizeable="XY"> </IFRAME>
<OBJECT id=ActiveDesktopMover
style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
<OBJECT id=ActiveDesktopMoverW
style="Z-INDEX: 9995; LEFT: -1px; VISIBILITY: hidden; WIDTH: 1026px; POSITION: absolute; TOP: 0px; HEIGHT: 770px; container: positioned"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
</BODY></HTML>
où ça parle semble t-il d’une tâche lancé automatiquement par XP, et où on retrouve le fichier file://C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html…
mais dans tt ça je pige pas grand chose….
4) j’ai essayé de virer comme tu le dis bingo9.exe et ertydf.exe, mais le pb ce qu’après avoir fait une recherche sur mon poste de travail, il n’a pas trouvé de fichiers correspondants (en revanche j’ai bien viré le troisième C:\WINDOWS\System32\iegfxfrw.dll). J’ai alors fait une recherche sur les fichiers contenant ces textes, et voici ce que j’obtiens :
pour bingo9.exe, 2 fichiers contiennent ce texte tous deux sous le répertoire C:\WINDOWS\PCHealth\HelpCtr\DataColl, ce sont les fichiers CollectedData_3703 et CollectedData_5532. Ce sont des fichiers de type XML ( ?), en ouvrant le premier voici ce que j’ai (c’est là que c’est long, oups…) :
<?xml version="1.0" encoding="unicode" ?>
- <CIM CIMVERSION="2.0" DTDVERSION="2.0">
- <DECLARATION>
- <DECLGROUP.WITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">"C:\Program Files\WareOut\WareOut.exe"</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">WareOut</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>"C:\Program Files\WareOut\WareOut.exe"</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>WareOut</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">bingo9.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">MSTCPDLL</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">All Users</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>bingo9.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>MSTCPDLL</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>All Users</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">Bogobot.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">xsetup</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>Bogobot.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>xsetup</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">ERTYDF.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">PrcIdle</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">All Users</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>ERTYDF.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>PrcIdle</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>All Users</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">hyandex.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">cnftips</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>hyandex.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>cnftips</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">PrcIdle.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">stuffmon</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>PrcIdle.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>stuffmon</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
</DECLGROUP.WITHPATH>
</DECLARATION>
</CIM>
voilà c’est tout !!!
mais on trouve effectivement des lignes avec les deux fichiers que tu m’as conseillé de virer.
Qu’est-ce que je fais ? je vire les 2 fichiers XML ???
Voilà voilà, désolé d’abuser, mais c’est un peu agaçant ce genre de parasites, mais tu vois que malgré mes faibles connaissances en informatique, j’essaie de fouiller et de comprendre…. J
J'essaie d’abord de relancer tout ça après mon hijckthis et je te tiens au jus...
A+
poctoy
jean38
Messages postés
2534
Date d'inscription
samedi 16 avril 2005
Statut
Contributeur
Dernière intervention
17 juillet 2017
47
10 juil. 2005 à 22:34
10 juil. 2005 à 22:34
et comme disent les touareg
çà bosse çà bosse...wouarf
bon c'est la fin je craque....
çà bosse çà bosse...wouarf
bon c'est la fin je craque....
Utilisateur anonyme
11 juil. 2005 à 21:06
11 juil. 2005 à 21:06
salut
bien joué, on apprend pas mal de choses dans ce que tu as trouvé
recherche et supprime ces fichiers s'ils existent:
C:\Program Files\WareOut
bingo9.exe
ERTYDF.exe
hyandex.exe
personnellement je virerais pas les fichiers xml, j'en ai aussi dans le meme dossier, c'est peut etre juste des traces d'install.
reposte un hijack et un log de smitfraudfix option 1
a+
bien joué, on apprend pas mal de choses dans ce que tu as trouvé
recherche et supprime ces fichiers s'ils existent:
C:\Program Files\WareOut
bingo9.exe
ERTYDF.exe
hyandex.exe
personnellement je virerais pas les fichiers xml, j'en ai aussi dans le meme dossier, c'est peut etre juste des traces d'install.
reposte un hijack et un log de smitfraudfix option 1
a+
Utilisateur anonyme
11 juil. 2005 à 23:03
11 juil. 2005 à 23:03
lol
ok a+
ok a+
poctoy
Messages postés
33
Date d'inscription
samedi 5 mars 2005
Statut
Membre
Dernière intervention
28 juillet 2015
12 juil. 2005 à 19:36
12 juil. 2005 à 19:36
salut,
bon ça y est la belle mère a passé une bonne nuit, je reprends possession de mon outil informatique (dont elle n'a d'ailleurs aucune utilité, lol...).
je n'ai pas trouvé les fichiers bingo9, ertydf, et hyandex. Pour ce dernier, il apparaît aussi dans le répertoire datacoll, c'es un fichier XML...j'ai viré wareout par contre.
pour le rapport de smitfraud, le voici :
SmitFraudFix v0.7
Rapport fait à 19:24:47,98 le 12/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\uninstIU.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\intel32.exe PRESENT !
C:\WINDOWS\system32\oleadm.dll PRESENT !
C:\WINDOWS\system32\wp.bmp PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
C:\WINDOWS\system32\wininet.dll infecté !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 20ED-8B5C
R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE
29/09/2004 20:47 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB834707$
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$
24/04/2003 14:00 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\rtmgdr
27/04/2005 16:42 580ÿ608 wininet.dll
1 fichier(s) 580ÿ608 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\RTMQFE
28/04/2005 00:36 590ÿ848 wininet.dll
1 fichier(s) 590ÿ848 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\rtmgdr
18/02/2005 17:36 596ÿ992 wininet.dll
1 fichier(s) 596ÿ992 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\RTMQFE
19/02/2005 04:11 586ÿ240 wininet.dll
1 fichier(s) 586ÿ240 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\rtmgdr
07/12/2004 20:17 594ÿ944 wininet.dll
1 fichier(s) 594ÿ944 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\RTMQFE
08/12/2004 05:24 585ÿ728 wininet.dll
1 fichier(s) 585ÿ728 octets
R‚pertoire de C:\WINDOWS\system32
11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets
R‚pertoire de C:\WINDOWS\system32\dllcache
11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
il semble qu'il y ait un peu plus de trucs bizarres que l'autre jour... qu'est ce que t'en penses?
hier en relançant l'ordi, j'ai eu ce message sur fond bleu qq secondes :
"a fatal error in IE occured in 0028:c0011E36 in VXDVMM/01+00010E36 trojan-spy.html.smitfraud"
c koi???
et voici le rapport de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:33:07, on 12/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\intel32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\LightSurf\Common\IconMgr.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
A+
poctoy
bon ça y est la belle mère a passé une bonne nuit, je reprends possession de mon outil informatique (dont elle n'a d'ailleurs aucune utilité, lol...).
je n'ai pas trouvé les fichiers bingo9, ertydf, et hyandex. Pour ce dernier, il apparaît aussi dans le répertoire datacoll, c'es un fichier XML...j'ai viré wareout par contre.
pour le rapport de smitfraud, le voici :
SmitFraudFix v0.7
Rapport fait à 19:24:47,98 le 12/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\uninstIU.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\intel32.exe PRESENT !
C:\WINDOWS\system32\oleadm.dll PRESENT !
C:\WINDOWS\system32\wp.bmp PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
C:\WINDOWS\system32\wininet.dll infecté !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 20ED-8B5C
R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE
29/09/2004 20:47 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB834707$
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$
24/04/2003 14:00 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\rtmgdr
27/04/2005 16:42 580ÿ608 wininet.dll
1 fichier(s) 580ÿ608 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\RTMQFE
28/04/2005 00:36 590ÿ848 wininet.dll
1 fichier(s) 590ÿ848 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\rtmgdr
18/02/2005 17:36 596ÿ992 wininet.dll
1 fichier(s) 596ÿ992 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\RTMQFE
19/02/2005 04:11 586ÿ240 wininet.dll
1 fichier(s) 586ÿ240 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\rtmgdr
07/12/2004 20:17 594ÿ944 wininet.dll
1 fichier(s) 594ÿ944 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\RTMQFE
08/12/2004 05:24 585ÿ728 wininet.dll
1 fichier(s) 585ÿ728 octets
R‚pertoire de C:\WINDOWS\system32
11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets
R‚pertoire de C:\WINDOWS\system32\dllcache
11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
il semble qu'il y ait un peu plus de trucs bizarres que l'autre jour... qu'est ce que t'en penses?
hier en relançant l'ordi, j'ai eu ce message sur fond bleu qq secondes :
"a fatal error in IE occured in 0028:c0011E36 in VXDVMM/01+00010E36 trojan-spy.html.smitfraud"
c koi???
et voici le rapport de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:33:07, on 12/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\intel32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\LightSurf\Common\IconMgr.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
A+
poctoy
poctoy
Messages postés
33
Date d'inscription
samedi 5 mars 2005
Statut
Membre
Dernière intervention
28 juillet 2015
12 juil. 2005 à 19:50
12 juil. 2005 à 19:50
salut,
bon ça y est la belle mère a passé une bonne nuit, je reprends possession de mon outil informatique (dont elle n'a d'ailleurs aucune utilité, lol...).
je n'ai pas trouvé les fichiers bingo9, ertydf, et hyandex. Pour ce dernier, il apparaît aussi dans le répertoire datacoll, c'es un fichier XML...j'ai viré wareout par contre.
pour le rapport de smitfraud, le voici :
SmitFraudFix v0.7
Rapport fait à 19:24:47,98 le 12/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\uninstIU.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\intel32.exe PRESENT !
C:\WINDOWS\system32\oleadm.dll PRESENT !
C:\WINDOWS\system32\wp.bmp PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
C:\WINDOWS\system32\wininet.dll infecté !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 20ED-8B5C
R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE
29/09/2004 20:47 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB834707$
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$
24/04/2003 14:00 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\rtmgdr
27/04/2005 16:42 580ÿ608 wininet.dll
1 fichier(s) 580ÿ608 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\RTMQFE
28/04/2005 00:36 590ÿ848 wininet.dll
1 fichier(s) 590ÿ848 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\rtmgdr
18/02/2005 17:36 596ÿ992 wininet.dll
1 fichier(s) 596ÿ992 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\RTMQFE
19/02/2005 04:11 586ÿ240 wininet.dll
1 fichier(s) 586ÿ240 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\rtmgdr
07/12/2004 20:17 594ÿ944 wininet.dll
1 fichier(s) 594ÿ944 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\RTMQFE
08/12/2004 05:24 585ÿ728 wininet.dll
1 fichier(s) 585ÿ728 octets
R‚pertoire de C:\WINDOWS\system32
11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets
R‚pertoire de C:\WINDOWS\system32\dllcache
11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
il semble qu'il y ait un peu plus de trucs bizarres que l'autre jour... qu'est ce que t'en penses?
hier en relançant l'ordi, j'ai eu ce message sur fond bleu qq secondes :
"a fatal error in IE occured in 0028:c0011E36 in VXDVMM/01+00010E36 trojan-spy.html.smitfraud"
c koi???
et voici le rapport de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:33:07, on 12/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\intel32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\LightSurf\Common\IconMgr.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
A+
poctoy
bon ça y est la belle mère a passé une bonne nuit, je reprends possession de mon outil informatique (dont elle n'a d'ailleurs aucune utilité, lol...).
je n'ai pas trouvé les fichiers bingo9, ertydf, et hyandex. Pour ce dernier, il apparaît aussi dans le répertoire datacoll, c'es un fichier XML...j'ai viré wareout par contre.
pour le rapport de smitfraud, le voici :
SmitFraudFix v0.7
Rapport fait à 19:24:47,98 le 12/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\uninstIU.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\intel32.exe PRESENT !
C:\WINDOWS\system32\oleadm.dll PRESENT !
C:\WINDOWS\system32\wp.bmp PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
C:\WINDOWS\system32\wininet.dll infecté !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 20ED-8B5C
R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE
29/09/2004 20:47 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB834707$
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$
24/04/2003 14:00 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\rtmgdr
27/04/2005 16:42 580ÿ608 wininet.dll
1 fichier(s) 580ÿ608 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\RTMQFE
28/04/2005 00:36 590ÿ848 wininet.dll
1 fichier(s) 590ÿ848 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\rtmgdr
18/02/2005 17:36 596ÿ992 wininet.dll
1 fichier(s) 596ÿ992 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\RTMQFE
19/02/2005 04:11 586ÿ240 wininet.dll
1 fichier(s) 586ÿ240 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\rtmgdr
07/12/2004 20:17 594ÿ944 wininet.dll
1 fichier(s) 594ÿ944 octets
R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\RTMQFE
08/12/2004 05:24 585ÿ728 wininet.dll
1 fichier(s) 585ÿ728 octets
R‚pertoire de C:\WINDOWS\system32
11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets
R‚pertoire de C:\WINDOWS\system32\dllcache
11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
il semble qu'il y ait un peu plus de trucs bizarres que l'autre jour... qu'est ce que t'en penses?
hier en relançant l'ordi, j'ai eu ce message sur fond bleu qq secondes :
"a fatal error in IE occured in 0028:c0011E36 in VXDVMM/01+00010E36 trojan-spy.html.smitfraud"
c koi???
et voici le rapport de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:33:07, on 12/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\intel32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\LightSurf\Common\IconMgr.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
A+
poctoy
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
332
12 juil. 2005 à 19:45
12 juil. 2005 à 19:45
salut je sais pas si moe est la donc
redemarre en mode sans echec et relance le fix clik sur l option 2 et repond oui a tous
redemarre et met nous le rapport et un nouvel hijack
redemarre en mode sans echec et relance le fix clik sur l option 2 et repond oui a tous
redemarre et met nous le rapport et un nouvel hijack
Utilisateur anonyme
12 juil. 2005 à 19:54
12 juil. 2005 à 19:54
salut poctoy
tu pouvais suivre les conseils de balltrap, pas de problemes
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
valider avec [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
lance le fix et choisis l'option 2 et accepte tous les nettoyages
redemarre normallement et reposte un hijack + le rapport de l'option 1 du fix
tu pouvais suivre les conseils de balltrap, pas de problemes
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
valider avec [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
lance le fix et choisis l'option 2 et accepte tous les nettoyages
redemarre normallement et reposte un hijack + le rapport de l'option 1 du fix
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
332
12 juil. 2005 à 19:55
12 juil. 2005 à 19:55
moi je fais l inverse fix puis hijack apres redemarrage et ensuite correction hijack
moe toi tu pense que c est mieux dans l autre sens?
moe toi tu pense que c est mieux dans l autre sens?
Utilisateur anonyme
12 juil. 2005 à 19:59
12 juil. 2005 à 19:59
je sais pas, ca doit etre pareil, c'est juste l'habitude....
poctoy
Messages postés
33
Date d'inscription
samedi 5 mars 2005
Statut
Membre
Dernière intervention
28 juillet 2015
12 juil. 2005 à 21:14
12 juil. 2005 à 21:14
re,
c fait, dans le hijackthis, je n'ai pas les deux premiers O4, ni le O17. J'ai donc juste enlever le troisième O4 mentionné.
voici le rapport hijackthis effectué en mode sans échec :
Logfile of HijackThis v1.99.1
Scan saved at 20:55:59, on 12/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
le rapport fix de l'option 2 du mode sans échec (oups pour l'option 1, mais apparemment il n'y avait rien de suspect)
RAPPORT SMITFRAUD :
SmitFraudFix v0.7
Rapport fait à 20:59:32,90 le 12/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
Processus arreté: AntivirusGold.exe
Processus arreté: bsw.exe
Processus arreté: helper.exe
Processus arreté: hookdump.exe
Processus arreté: intel32.exe
Processus arreté: intmon.exe
Processus arreté: intmonp.exe
Processus arreté: msmsgs.exe
Processus arreté: msole32.exe
Processus arreté: ole32vbs.exe
Processus arreté: ongi.exe
Processus arreté: popuper.exe
Processus arreté: r.exe
Processus arreté: runsrv32.exe
Processus arreté: shnlog.exe
Processus arreté: spoolsrv32.exe
Processus arreté: uninst.exe
Processus arreté: uninstIU.exe
Processus arreté: w8673492.exe
Processus arreté: winnook.exe
Processus arreté: winstall.exe
Processus arreté: wp.exe
Processus arreté: zloader3.exe
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
pour le processus wp.exe arrêté, il s'agit d'une fenêtre bleu qui apparaît au lancement de XP et qui m'affiche le message
"a fatal error in IE occured by 0028:C0011E36 in VXDVMM/01+00010E36 caused by trojan-spyware.html.smitfraud.c"
ou qq chose de ce genre...
Enfin, pour rappel qd je fais clic droit sur cette put.. d'image blanche, et que j'affiche la source, j'ai la fenêtre suivante qui apparaît :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!----
***** This file is automatically generated by Microsoft Windows *****
--------><HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD>
<BODY
style="BORDER-RIGHT: medium none; BORDER-TOP: medium none; BORDER-LEFT: medium none; BORDER-BOTTOM: medium none"
bottomMargin=0 bgColor=#004e98 leftMargin=0 background="" topMargin=0
rightMargin=0><IFRAME id=0
style="Z-INDEX: 9996; BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH: 1024px; POSITION: absolute; TOP: 1px; HEIGHT: 768px"
name=DeskMovrW marginWidth=0 marginHeight=0
src="file:///C:/DOCUME~1/client/LOCALS~1/Temp/bcdb4a5bc.html" frameBorder=0
subscribed_url="C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html"
resizeable="XY"> </IFRAME>
<OBJECT id=ActiveDesktopMover
style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
<OBJECT id=ActiveDesktopMoverW
style="Z-INDEX: 9995; LEFT: -1px; VISIBILITY: hidden; WIDTH: 1026px; POSITION: absolute; TOP: 0px; HEIGHT: 770px; container: positioned"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
</BODY></HTML>
donc il semble qu'il lance deux processus automatique qui sont cachés "hidden", un avec ce fameux message wp.exe, l'autre avec C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html"
bon voilà, sais plus quoi faire...
pour rappel; aussi j'ai mis à jour ad-aware et spybot, mais ils n'ont rien trouvé de suspect...
tout à l'heure j'ai réinstallé un fond d'écran pero, mais l'image passe en arrière plan de cette toujours put... d'image blanche, et au relancement de XP, mon fond d'écran a redisparu
A+ et merci de votre patience
poctoy
c fait, dans le hijackthis, je n'ai pas les deux premiers O4, ni le O17. J'ai donc juste enlever le troisième O4 mentionné.
voici le rapport hijackthis effectué en mode sans échec :
Logfile of HijackThis v1.99.1
Scan saved at 20:55:59, on 12/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
le rapport fix de l'option 2 du mode sans échec (oups pour l'option 1, mais apparemment il n'y avait rien de suspect)
RAPPORT SMITFRAUD :
SmitFraudFix v0.7
Rapport fait à 20:59:32,90 le 12/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
Processus arreté: AntivirusGold.exe
Processus arreté: bsw.exe
Processus arreté: helper.exe
Processus arreté: hookdump.exe
Processus arreté: intel32.exe
Processus arreté: intmon.exe
Processus arreté: intmonp.exe
Processus arreté: msmsgs.exe
Processus arreté: msole32.exe
Processus arreté: ole32vbs.exe
Processus arreté: ongi.exe
Processus arreté: popuper.exe
Processus arreté: r.exe
Processus arreté: runsrv32.exe
Processus arreté: shnlog.exe
Processus arreté: spoolsrv32.exe
Processus arreté: uninst.exe
Processus arreté: uninstIU.exe
Processus arreté: w8673492.exe
Processus arreté: winnook.exe
Processus arreté: winstall.exe
Processus arreté: wp.exe
Processus arreté: zloader3.exe
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
pour le processus wp.exe arrêté, il s'agit d'une fenêtre bleu qui apparaît au lancement de XP et qui m'affiche le message
"a fatal error in IE occured by 0028:C0011E36 in VXDVMM/01+00010E36 caused by trojan-spyware.html.smitfraud.c"
ou qq chose de ce genre...
Enfin, pour rappel qd je fais clic droit sur cette put.. d'image blanche, et que j'affiche la source, j'ai la fenêtre suivante qui apparaît :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!----
***** This file is automatically generated by Microsoft Windows *****
--------><HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD>
<BODY
style="BORDER-RIGHT: medium none; BORDER-TOP: medium none; BORDER-LEFT: medium none; BORDER-BOTTOM: medium none"
bottomMargin=0 bgColor=#004e98 leftMargin=0 background="" topMargin=0
rightMargin=0><IFRAME id=0
style="Z-INDEX: 9996; BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH: 1024px; POSITION: absolute; TOP: 1px; HEIGHT: 768px"
name=DeskMovrW marginWidth=0 marginHeight=0
src="file:///C:/DOCUME~1/client/LOCALS~1/Temp/bcdb4a5bc.html" frameBorder=0
subscribed_url="C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html"
resizeable="XY"> </IFRAME>
<OBJECT id=ActiveDesktopMover
style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
<OBJECT id=ActiveDesktopMoverW
style="Z-INDEX: 9995; LEFT: -1px; VISIBILITY: hidden; WIDTH: 1026px; POSITION: absolute; TOP: 0px; HEIGHT: 770px; container: positioned"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
</BODY></HTML>
donc il semble qu'il lance deux processus automatique qui sont cachés "hidden", un avec ce fameux message wp.exe, l'autre avec C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html"
bon voilà, sais plus quoi faire...
pour rappel; aussi j'ai mis à jour ad-aware et spybot, mais ils n'ont rien trouvé de suspect...
tout à l'heure j'ai réinstallé un fond d'écran pero, mais l'image passe en arrière plan de cette toujours put... d'image blanche, et au relancement de XP, mon fond d'écran a redisparu
A+ et merci de votre patience
poctoy
Utilisateur anonyme
12 juil. 2005 à 21:24
12 juil. 2005 à 21:24
tu as reessayé ceci:
Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
et fixe celle là:
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
regarde si ce dossier existe: C:\spywarevanisher-free
Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
et fixe celle là:
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
regarde si ce dossier existe: C:\spywarevanisher-free
poctoy
Messages postés
33
Date d'inscription
samedi 5 mars 2005
Statut
Membre
Dernière intervention
28 juillet 2015
12 juil. 2005 à 21:57
12 juil. 2005 à 21:57
re,
ouah, ça marche, j'ai remis un fond d'écran qui cette fois apparaît en entier. Mais en revanche sur "affichage", clic droit et onglet "web", après avoir viré la ligne que tu m'as dit, je n'ai plus rien, cad que je n'ai plus "ma page d'accueil"..., la fenêtre est vide.
je suis entrain de faire une recherche sur spyvanisher-free, et ensuite je reboot pour voir si le fond d'écran reste tel quel...
je te tiens au jus.
à tout
poctoy
ouah, ça marche, j'ai remis un fond d'écran qui cette fois apparaît en entier. Mais en revanche sur "affichage", clic droit et onglet "web", après avoir viré la ligne que tu m'as dit, je n'ai plus rien, cad que je n'ai plus "ma page d'accueil"..., la fenêtre est vide.
je suis entrain de faire une recherche sur spyvanisher-free, et ensuite je reboot pour voir si le fond d'écran reste tel quel...
je te tiens au jus.
à tout
poctoy
poctoy
Messages postés
33
Date d'inscription
samedi 5 mars 2005
Statut
Membre
Dernière intervention
28 juillet 2015
12 juil. 2005 à 22:41
12 juil. 2005 à 22:41
ok ça roule tout est redevenu normal.
enfin juste un dernier tt petit point, l'affichage principal de windows est différent, les angles sont un peu plus carrés, le style de police a changé je pense aussi. bref, la présentation est un peu plus rigide, comme les icônes par ex. c'est pas trop gênant ùais comment puis-je remettre t ça en config initiale.
merci encore pour votre aide.
poctoy
enfin juste un dernier tt petit point, l'affichage principal de windows est différent, les angles sont un peu plus carrés, le style de police a changé je pense aussi. bref, la présentation est un peu plus rigide, comme les icônes par ex. c'est pas trop gênant ùais comment puis-je remettre t ça en config initiale.
merci encore pour votre aide.
poctoy
Utilisateur anonyme
12 juil. 2005 à 22:45
12 juil. 2005 à 22:45
tu as basculé vers l'affichage classique ?
est ce que tu peux faire une capture d'ecran et la poster ici:
http://www.cjoint.com/
ensuite met le lien vers l'image ici
est ce que tu as trouvé C:\spywarevanisher-free ?
est ce que tu peux faire une capture d'ecran et la poster ici:
http://www.cjoint.com/
ensuite met le lien vers l'image ici
est ce que tu as trouvé C:\spywarevanisher-free ?
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
332
12 juil. 2005 à 22:56
12 juil. 2005 à 22:56
moe je pense qu il vas falloir rajouter ceci au fix
C:/DOCUME~1/client/LOCALS~1/Temp/bcdb4a5bc.html
ainsi que les clefs
C:/DOCUME~1/client/LOCALS~1/Temp/bcdb4a5bc.html
ainsi que les clefs
10 juil. 2005 à 20:09
A+
poctoy